Nyx-1 思路整理
确定靶机
| 攻击机 | 靶机 |
|---|---|
| 192.168.106.132 | 192.168.106.140 |
初步信息收集
端口信息
先初步确定开启的端口,然后针对端口确认版本服务信息,nmap漏扫脚本慢可以挂着先。
| 服务/端口 | 版本/信息 |
|---|---|
| 22/SSH | OpenSSH 7.9p1 Debian 10+deb10u2 (protocol 2.0) |
| 80/HTTP | Apache httpd 2.4.38 ((Debian)) 枚举出:d41d8cd98f00b204e9800998ecf8427e.php文件 |
站点指纹/站点探索(80)
查看网页源代码存在注释文件,提示不要注意注释和robost文件,指纹探测未发现新信息
查看robost文件确实是没有的。。。。
目录扫到一个key.php,打开是一个表单提交的。查看源代码是提交到当前页面,试了一下不存在报错和回显示??
回到前面nmap发现的一个文件,打开发现是公钥文件,不过现在细看这个是希捷的一个漏洞,不过靶机应该不是希捷。现在缺少用户测试。
回到前面的将密钥输入进去,没反应。。。这个页面应该是无效的。
然后回到key的页面注意到它是存在title的提示mpampis key,这个会不会就算用户呢?而且1发现这个密钥后门的几个=好像是base64
解密发现果然后面一段是base64加密的。内容刚好就是用户,那文件名那个看着那么像md5的不会也是
果然也能解密,提示密码为空。。。
SSH(22)
尝试去登录,提示报错了,还是要输入密码?注意看回显的报错,文件权限存在问题,太过于开放了,要限制当前用户具有权限。chmod设置只有自己具有权限后就能登录进去了。
提权
信息收集
确定了内核版本信息,且不存计划任务,sudo具有gcc的root执行权限。
使用GTFOBins提权,获取一个bash
gcc -wrapper /bin/bash,-s .
结尾
回去看原本的key页面发现它要猜到key就跳转到密钥的php文件,如果猜到用户则被嘲笑。但是这个密钥是什么意思呢?
总结别轻易放弃一个细节和title和熟悉的密钥。